Nueva Ley de Datos 2025: qué obliga a tu empresa al dar de baja o vender computadoras.

El 20 de marzo de 2025 se publicó en el Diario Oficial de la Federación una nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), que entró en vigor al día siguiente, el 21 de marzo de 2025. Para una empresa que maneja datos de empleados, clientes y proveedores, no es un cambio menor — y hay un rincón del cumplimiento que casi nadie está mirando: qué pasa con los datos cuando una computadora deja de usarse.

Qué cambió, en simple.

El cambio más visible de la nueva ley es institucional. Desaparece el INAI como autoridad garante, y sus atribuciones en materia de protección de datos personales pasan a la Secretaría Anticorrupción y Buen Gobierno. Hubo además una reforma adicional publicada en el DOF el 14 de noviembre de 2025. En otras palabras: el organismo cambió, pero el deber de cuidar los datos personales no se fue a ningún lado. La obligación de fondo sigue siendo de tu empresa, como responsable del tratamiento.

Conviene una aclaración honesta de entrada: el reglamento de esta nueva ley todavía está pendiente de publicarse. Por eso, aquí hablamos de los deberes desde la ley y desde los principios que toda empresa responsable ya conocía — no de un reglamento nuevo que aún no existe.

"La nueva ley cambió quién vigila los datos personales en México. Lo que no cambió es de quién es la responsabilidad de cuidarlos: tuya, hasta que el equipo salga de tu control con los datos suprimidos."

El punto ciego: dar de baja también es "tratamiento" de datos.

Cuando piensas en proteger datos personales, lo natural es pensar en tu sistema de nómina, tu CRM, tus contraseñas. Pero la baja, la venta, la donación o el trade-in de un equipo son también una fase del tratamiento de datos: ese disco duro todavía guarda correos, nóminas, contratos, expedientes de clientes y accesos. Si la máquina sale de tu empresa con los datos adentro, los datos salieron contigo en la lista de responsables — pero ya sin tu control.

La ley, en términos generales, espera que una empresa responsable proteja la información personal con medidas razonables a lo largo de todo su ciclo (deberes como los que recogen, en general, los artículos 11, 18, 19 y 24 de la LFPDPPP, relativos a calidad y supresión, información al titular, medidas de seguridad y responsabilidad del responsable). Llevado al hardware retirado, esto se traduce en algo concreto: suprimir los datos de forma adecuada antes de que el equipo deje de estar bajo tu control, y poder demostrar que así fue.

La distinción que importa: la ley pide suprimir; el borrado certificado es cómo lo pruebas.

Aquí hay que ser muy precisos, porque es donde más se confunde la gente. La ley mexicana no usa la frase "borrado certificado" ni cita la norma NIST 800-88. Lo que la ley pide, en términos generales, es proteger y suprimir los datos personales cuando ya no son necesarios. Punto.

El borrado certificado bajo NIST 800-88 es el estándar de industria que existe precisamente para demostrar que cumpliste ese deber. Es el "cómo", no el "qué": un método de borrado verificable más un certificado por cada equipo que documenta número de serie, método aplicado, fecha y verificación. Esa distinción es la clave de todo el artículo:

La ley te dice: suprime y protege los datos personales. El borrado certificado te da: la evidencia auditable de que lo hiciste. Si te explicamos a fondo qué es ese estándar y cómo se ve un certificado por número de serie, lo tienes en nuestra guía de borrado certificado NIST 800-88.

Un detalle más, también para no confundir marcos: la ley mexicana no fija para los particulares un plazo en horas para notificar (como el "24 o 72 horas" que se oye del marco europeo). No mezcles esos números: el deber relevante para la baja de equipo es prevenir el problema suprimiendo bien los datos antes de soltar el hardware, no correr un reloj de notificación.

"Formatear" no es borrar.

El error más común y más caro es creer que reinstalar Windows o "formatear" el disco deja la máquina limpia. No es así: tras un formateo, buena parte de los datos sigue siendo recuperable con herramientas accesibles, muchas de ellas gratuitas. Si entregas una laptop "formateada" a un comprador, a un empleado o a un reciclador, estás asumiendo que nadie va a mirar — una apuesta que no querrás defender frente a la nueva autoridad. Es la misma lógica de fondo que cubrimos en qué hacer con las computadoras viejas sin arriesgar tus datos: la opción que protege es la que borra de verdad y lo documenta.

El retiro con borrado certificado es tu evidencia.

Junta las dos ideas y la conclusión es directa. Con una autoridad nueva mirando el cumplimiento, la baja de equipo deja de ser un trámite de bodega y se vuelve un punto de control. La forma de cerrarlo bien no es un documento más de papeleo interno, sino un proceso que termine en evidencia: equipo retirado, datos suprimidos con un método verificable, y un certificado por número de serie que puedas mostrar. Eso es lo que convierte "creemos que los borramos" en "aquí está la constancia de que se borraron".

Qué hacemos nosotros.

En Rematech, cuando renovamos o retiramos tu flota anterior —ya sea como retiro directo o tomándola a cuenta vía Trade-in— el equipo sale con borrado certificado de datos y constancia por equipo. Tú recibes computadoras corporativas reacondicionadas listas para trabajar, y el equipo viejo se va con los datos suprimidos de forma documentada. Así la baja deja de ser un punto ciego de cumplimiento y se convierte en algo que puedes archivar y mostrar.